1. Home
  2. dogado
  3. Spam Control
  4. Wie funktioniert der Spamfilter für ein- & ausgehende E-Mails?

Wie funktioniert der Spamfilter für ein- & ausgehende E-Mails?

Der dogado Spamfilter, SpamControl, basiert auf einer redundanten und mehrstufigen Architektur, die alle E-Mails auf Spam und Viren prüft. Der Filter prüft alle E-Mails, sowohl E-Mails die Sie empfangen wie auch E-Mails die Sie versenden.

Die von uns eingesetzten Filtermethoden wurden speziell entwickelt, um Fehlalarme zu vermeiden. Aus diesem Grund werden viele verschiedene Prüfungen durchgeführt, so vermeiden wir Fehler die nur auf einem Filter basieren.

Es können zwei Filterstufen unterschieden werden. Filterung auf der „SMTP-Ebene“ und Filterung auf der „DATA-Ebene“.

Dank der Kombination vieler verschiedener fortschrittlicher Filter und der Einhaltung der E-Mail Standars (RFC) sorgen wir dafür, dass E-Mails nie verloren gehen. Der Absender wird immer von seinem sendenden E-Mail-Server informiert, dass die Nachricht abgelehnt wurde.

Wie prüfen wir eine E-Mail für Sie?

Jede E-Mail durchläuft dabei mehrstufige Filter- und Sicherheitssysteme, um sicherzustellen das es sich bei der E-Mail nicht um Spam handelt und kein Virus in der E-Mail oder einem Anhang vorhanden ist.

Die Erkennung von Spam basiert dabei auf verschiedene Technologien:

  • Filterlisten: Jeder Spam-Filter arbeitet mit einer sogenannten Blacklist, auf der alle Spam-Merkmale stehen – etwa Absender, IP-Adresse oder bestimmte Schlagwörter. Erkennt der Spam-Filter, wird die Nachricht gekennzeichnet, verschoben oder gelöscht. Gegenstück zur Blacklist ist die Whitelist. Nachrichten von Absender auf dieser Liste werden immer zugestellt.
  • Check der IP-Adresse: An der IP-Adresse des Absender lässt sich erkennen, ob es sich um einen für Spam bekannten Zugang handelt. Weniger zuverlässig ist die Methode, die Absenderadresse zu nutzen – Spammer fälschen diese häufig.
  • Contentfilter: Bestimmte Schlagwörter sind typisch für Spam. Entsprechend wird der Inhalt daraufhin gescannt. Tauchen Begriffe wie „Viagra“ häufig auf, wird die Nachricht als Spam eingeordnet. Der Haken bei dieser Technik: Werden Sonderzeichen oder absichtliche Schreibfehler in die Schlagwörter eingebaut, kann der Filter ausgetrickst werden.

Aus all diesen Faktoren wird eine s.g. Reputation-Score (Punktzahl) für eine E-Mail gebildet. Übersteigt die Gesamtpunktzahl einen zuvor gesetzte Schwelle, wird die E-Mail als Spam eingestuft.

Technische Beschreibung der Filter-Stufen

Filter auf SMTP-Ebene

So weit wie möglich werden die eingehenden E-Mail-Verbindungen erst nach dem SMTP-Befehl „rcpt to:“ blockiert. Auf diese Weise stellen wir sicher, dass die Verbindung und damit einhergehend die Protokollierung ordnungsgemäß funktioniert.

Wenn die Verbindung aus einer unbekannten Quelle zu stammen scheint, die in unseren Systemen noch keinen guten Ruf hat, kann sie mit einem 4xx-Code vorübergehend abgelehnt werden. In diesem Fall wird der sendende Server die E-Mail in die Warteschlange stellen und die Zustellung automatisch wiederholen. Nach 10 Minuten wird die Verbindung auf einem der Filterknoten akzeptiert und die internen Whitelists werden angepasst, um zu verhindern, dass beim nächsten Mal eine solche Verzögerung in der E-Mail-Zustellung erneut auftritt.

Dieses Konzept wird auch als Greylisting bezeichnet. Wir nutzen jedoch eine viel komplexere Methode als herkömmliche Greylisting-Systeme, da alle Knoten vollständig synchronisiert sind und nur Verbindungen von Servern, die dem ganzen Filtersystem nicht bekannt sind, vorübergehend verzögert werden. Daher sind E-Mail-Verzögerungen aufgrund von Greylisting eher ungewöhnlich und verursachen im Allgemeinen keine Probleme für die Empfänger.

Wenn die Verbindung scheinbar von einer Spam-Quelle stammt, wird sie mit einem 4xx-Code vorübergehend zurückgewiesen.

Auf diese Weise geht die E-Mail auch dann nicht verloren, wenn der Server fälschlicherweise als Spam-Quelle (z. B. auf einer externen Sperrliste) aufgeführt wurde oder das Spam-Problem auf dem sendenden Server behoben wurde.

Nur wenn die Verbindung aus einer bekannten, nur Spam-Quelle stammt oder wenn das Verhalten in direktem Konflikt mit den RFC-Standards steht, RFC ist quasi der ISO Standard im Internet, kann eine Verbindung mit einem 5xx-Fehlercode dauerhaft abgelehnt werden. Wenn dies für einen legitimen Absender jemals passieren würde, erhält der Absender immer eine Benachrichtigung von seinem E-Mailserver.

Dieses Problem tritt nur auf, wenn schwerwiegende Probleme mit dem sendenden Server auftreten, die auf der Seite des Absenders gelöst werden sollten.

Filter auf DATA-Ebene

Nachdem die „DATA-Ebene“ erreicht ist, scannt das System den E-Mail-Inhalt der Nachricht basierend auf einer Kombination fortschrittlicher statistischer Filtertechnologien, darunter:

  • Spam-Fingerprint-Datenbanken
  • Viren, Phishing und Spyware Datenbanken

Eine E-Mail, die als Spam erkannt wurde, wird abhängig von der Gesamtpunktzahl entweder vorübergehend (4xx-Fehlercode) oder dauerhaft (5xx-Fehlercode)abgelehnt.

E-Mails, die auf dieser Ebene dauerhaft als Spam zurückgewiesen werden, werden in die Quarantäne verschoben und stehen dort zur Prüfung durch Sie zur Verfügung (ausgenommen Viren).

Falls eine legitime E-Mail dauerhaft blockiert worden wäre, informiert der sendende Server den Absender immer darüber, dass die E-Mail nicht zugestellt werden konnte.

Technisches Detail-Schaubild der Filter-Ebenen

Nachfolgend sehen Sie ein Schaubild, welche einzelnen Prüfungen Ihre E-Mail durchläuft, bevor wir diesen in Ihr Postfach zustellen.

 

Updated on 13. November 2018

Was this article helpful?

Related Articles

Leave a Comment